【編者的話】2023年8月在北航杭州創(chuàng)新研究院舉辦了“第五屆國產(chǎn)嵌入式操作系統(tǒng)技術(shù)與產(chǎn)業(yè)發(fā)展論壇暨嵌入式系統(tǒng)聯(lián)誼會主題討論會(總第29次)，會議主題是“面向異構(gòu)多核智能芯片的混合關(guān)鍵系統(tǒng)研究與應(yīng)用”，《單片機(jī)與嵌入式系統(tǒng)應(yīng)用》雜志社邀請報告人北京航空航天大學(xué)牛建偉教授團(tuán)隊和復(fù)旦大學(xué)蔣金虎教授團(tuán)隊撰寫了兩篇論文。

“基于多內(nèi)核的操作系統(tǒng)內(nèi)生安全技術(shù)”一文，針對萬物互聯(lián)時代設(shè)備的智能化、網(wǎng)絡(luò)化的功能安全與網(wǎng)絡(luò)安全的各種問題和隱患，提出了一套基于多內(nèi)核的操作系統(tǒng)內(nèi)生安全技術(shù)方案。“基于混合關(guān)鍵系統(tǒng)的工業(yè)機(jī)器人操作系統(tǒng)”一文，提出了基于混合關(guān)鍵系統(tǒng)的新型機(jī)器人架構(gòu)設(shè)計，可以提高機(jī)器人操作系統(tǒng)的實時性、安全性和智能化水平。會議演講報告公開版本已經(jīng)發(fā)布在嵌入式系統(tǒng)聯(lián)誼會的官方網(wǎng)站上，閱讀原文可以獲得。

多核芯片混合關(guān)鍵系統(tǒng)的研究體現(xiàn)了嵌入式系統(tǒng)多學(xué)科合作攻關(guān)的特點，是大模型和生成式AI風(fēng)起云涌時代，工業(yè)智能系統(tǒng)面臨的機(jī)遇和挑戰(zhàn)，2024年嵌入式系統(tǒng)產(chǎn)業(yè)界將會繼續(xù)努力攻堅克難，期待我們再聚!

0 引言

萬物互聯(lián),設(shè)備越來越多,且智能化、網(wǎng)絡(luò)化趨勢日益明顯,成為未來發(fā)展的一個必然方向,但同時也為系統(tǒng)安全帶來了新的挑戰(zhàn)與機(jī)遇,功能安全與網(wǎng)絡(luò)安全的各種問題和隱患也隨之而來。操作系統(tǒng)是軟件架構(gòu)的基石,肩負(fù)著抽象硬件資源和溝通上層用戶應(yīng)用與下層硬件資源的職能,面臨著巨大的安全挑戰(zhàn)。因此,操作系統(tǒng)安全的理論和實踐至關(guān)重要。

傳統(tǒng)的網(wǎng)絡(luò)安全以安全事件驅(qū)動的靜態(tài)被動式安全為主,功能安全則以冗余為主[1]。傳統(tǒng)的網(wǎng)絡(luò)安全包括以下3個發(fā)展階段:以阻止入侵為目的的系統(tǒng)加固階段、以限制破壞為目的的監(jiān)測響應(yīng)階段、以系統(tǒng)頑存為目的的網(wǎng)絡(luò)容侵階段[2]。3個階段針對不同時代下的網(wǎng)絡(luò)功能安全問題,但均存在缺陷。系統(tǒng)加固階段通過明確劃分網(wǎng)絡(luò)邊界,利用用戶認(rèn)證、訪問控制、網(wǎng)絡(luò)隔離等手段來加固系統(tǒng),在保證網(wǎng)絡(luò)系統(tǒng)正常工作基礎(chǔ)上保證信息安全,但這一階段的技術(shù)無法應(yīng)對系統(tǒng)漏洞等后門攻擊手段。監(jiān)測響應(yīng)階段則是通過特征掃描、模式匹配等技術(shù)來檢測入侵,但此階段的技術(shù)高度依賴檢測能力,且無法檢測新出現(xiàn)的入侵技術(shù)。網(wǎng)絡(luò)容侵階段則是通過信息生存技術(shù)將入侵影響降到最低,但目前尚無規(guī)模化使用案例,且模型的建立依賴大量先驗知識,無法應(yīng)對先驗知識中未出現(xiàn)的攻擊。

隨著數(shù)字基礎(chǔ)設(shè)施逐漸智能化和網(wǎng)絡(luò)化,網(wǎng)絡(luò)安全和功能安全日益交織、疊加,演變?yōu)閮?nèi)生安全問題。內(nèi)生安全于2013年由鄔江興院士提出。內(nèi)生安全是以網(wǎng)絡(luò)中各類網(wǎng)元設(shè)備自身的安全能力為基礎(chǔ),利用系統(tǒng)架構(gòu)、算法、機(jī)制或場景等內(nèi)部因素獲得安全功能或?qū)傩?協(xié)同配合構(gòu)建的綜合安全體系。內(nèi)生安全具備先天構(gòu)建和后天成長兩大基本特征[3]。先天構(gòu)建表明安全需要與系統(tǒng)的設(shè)計與建設(shè)同步進(jìn)行,后天成長則要求系統(tǒng)能與自身所處環(huán)境交互,其安全能力隨環(huán)境變化而動態(tài)提升[4]。因此,內(nèi)生安全已被應(yīng)用于蜜罐[5]、防火墻[6]、交換機(jī)[7]、路由器[8]、處理機(jī)[9]、Web服務(wù)器[10-11]、DNS服務(wù)器[12]、云平臺[13-14]和網(wǎng)絡(luò)操作系統(tǒng)[15]等領(lǐng)域,其衍生出的相關(guān)技術(shù)越發(fā)重要,其先天構(gòu)建和后天成長的特性也為計算機(jī)系統(tǒng)提出了新的挑戰(zhàn)。

綜上,本文從內(nèi)生安全的角度對操作系統(tǒng)進(jìn)行分析,討論操作系統(tǒng)內(nèi)生安全面臨的挑戰(zhàn)和機(jī)遇。

1 研究現(xiàn)狀

操作系統(tǒng)內(nèi)生安全技術(shù)包括兩類。一類是面向功能安全的基于冗余容錯方法,例如 SpaceX衛(wèi)星上的三冗余系統(tǒng)、博世公司開發(fā)的冗余自動駕駛系統(tǒng)等。另一類是面向網(wǎng)絡(luò)安全的以移動目標(biāo)防御(MTD)[16]和擬態(tài)架構(gòu)為基礎(chǔ)的內(nèi)生安全防御技術(shù)。目前工業(yè)界已在嵌入式系統(tǒng)中大量使用 MTD,如 Morphisec公司已在50多家企業(yè)部署了基于 MTD驅(qū)動的安全方案。學(xué)術(shù)界也有大量有關(guān) MTD理論、策略、評估的論文,ACM每年舉辦專題研討會。

國內(nèi)主流的內(nèi)生安全技術(shù)為鄔江興院士提出的基于擬態(tài)防御的內(nèi)生安全[17]。擬態(tài)防御假定帶來安全問題的漏洞和后門未知且不可避免,擬態(tài)防御通過動態(tài)異構(gòu)冗余架構(gòu)來綜合考慮功能安全和網(wǎng)絡(luò)安全,以條件規(guī)避的方法讓攻擊者無法形成有效攻擊[18]。擬態(tài)防御已被用于賦能網(wǎng)絡(luò)彈性工程、典型領(lǐng)域工程應(yīng)用(如路由交換設(shè)備、網(wǎng)絡(luò)控制系統(tǒng)、工業(yè)控制系統(tǒng)、云計算和車聯(lián)網(wǎng)系統(tǒng)等)、無線系統(tǒng)安全、人工智能系統(tǒng)應(yīng)用和智能芯片等場景,并在部分系統(tǒng)中進(jìn)行大規(guī)模工業(yè)應(yīng)用[19]。因此,基于擬態(tài)架構(gòu)的內(nèi)生安全是一種可以從根本上提升操作系統(tǒng)安全防護(hù)能力的重要手段。

2 面臨的挑戰(zhàn)和機(jī)遇

操作系統(tǒng)為系統(tǒng)核心軟件。一方面,操作系統(tǒng)肩負(fù)抽象硬件資源和為應(yīng)用提供服務(wù)的功能,承擔(dān)溝通上層用戶應(yīng)用與下層硬件資源的服務(wù)職能,隱藏硬件的繁瑣細(xì)節(jié)并為用戶程序提供易用的標(biāo)準(zhǔn)化接口,是應(yīng)用程序執(zhí)行的公共基礎(chǔ),因此有義務(wù)構(gòu)建穩(wěn)定、安全的執(zhí)行環(huán)境。另一方面,操作系統(tǒng)還承擔(dān)對硬件資源和應(yīng)用程序二者的管理職能,既將異構(gòu)的、復(fù)雜的硬件資源納入統(tǒng)一管理,又負(fù)責(zé)應(yīng)用的生命周期和資源分配的管理,是計算機(jī)系統(tǒng)的唯一協(xié)調(diào)者、管理者,因此有義務(wù)維護(hù)穩(wěn)定、安全的系統(tǒng)狀態(tài)。其中安全為操作系統(tǒng)的關(guān)鍵職能之一。

傳統(tǒng)操作系統(tǒng)網(wǎng)絡(luò)安全依賴于對現(xiàn)有攻擊和漏洞的經(jīng)驗知識進(jìn)行被動防御,無法應(yīng)對未知攻擊和漏洞?；跀M態(tài)安全機(jī)理的動態(tài)異構(gòu)冗余的內(nèi)生安全機(jī)制是當(dāng)前主要的主動安全防護(hù)方法,但如何在操作系統(tǒng)層實現(xiàn)內(nèi)生安全機(jī)制,則面臨如下難題:

一是現(xiàn)有的操作系統(tǒng) (如 Linux、macOS等單內(nèi)核操作系統(tǒng))在架構(gòu)上具有脆弱性、單調(diào)性和機(jī)械性等特性,導(dǎo)致系統(tǒng)不支持內(nèi)生安全所需的異構(gòu)冗余屬性。具有脆弱性是因為操作系統(tǒng)安全防護(hù)脆弱單薄,微小的錯誤也可能導(dǎo)致關(guān)鍵功能部件失靈,進(jìn)而導(dǎo)致系統(tǒng)級的崩潰。通過冗余可以緩解因脆弱性導(dǎo)致的功能安全問題,但目前操作系統(tǒng)缺乏單機(jī)級冗余,系統(tǒng)部件幾乎均位于系統(tǒng)關(guān)鍵路徑之上,任何核心模塊被入侵均可能導(dǎo)致系統(tǒng)級的崩潰。當(dāng)前操作系統(tǒng)缺乏差異化而表現(xiàn)出的單調(diào)性特征導(dǎo)致特定系統(tǒng)的差分問題突出,系統(tǒng)安全維護(hù)工作無法根除操作系統(tǒng)自身的固有設(shè)計缺陷?，F(xiàn)有操作系統(tǒng)在時態(tài)上表現(xiàn)出高度靜態(tài)的機(jī)械性,這為網(wǎng)絡(luò)攻擊提供了透明的一致視圖。當(dāng)前大量的網(wǎng)絡(luò)攻擊依賴于運(yùn)行時窺探系統(tǒng)的關(guān)鍵數(shù)據(jù),而系統(tǒng)時態(tài)的動態(tài)變化將有效降低系統(tǒng)被攻擊成功的概率。此外,當(dāng)前功能安全和網(wǎng)絡(luò)防御手段無法應(yīng)對攻擊逃逸后的場景。因此,需要一種新的操作系統(tǒng)架構(gòu)來保證系統(tǒng)的異構(gòu)冗余性。

二是如何在操作系統(tǒng)層構(gòu)建內(nèi)生安全的動態(tài)異構(gòu)冗余機(jī)制。異構(gòu)冗余機(jī)制要求操作系統(tǒng)具備冗余性、異構(gòu)性和動態(tài)性。冗余性要求操作系統(tǒng)提供應(yīng)用透明的多個執(zhí)行環(huán)境,操作系統(tǒng)需基于應(yīng)用程序的單一鏡像構(gòu)建多個執(zhí)行環(huán)境,并在多個執(zhí)行環(huán)境中執(zhí)行相同程序的實例副本。異構(gòu)性要求操作系統(tǒng)提供功能等價的異構(gòu)執(zhí)行環(huán)境,操作系統(tǒng)需支持多個執(zhí)行環(huán)境并存的架構(gòu),保證應(yīng)用程序在異構(gòu)環(huán)境下得到等價的預(yù)期輸出。動態(tài)性則要求操作系統(tǒng)支持執(zhí)行環(huán)境集合的動態(tài)迭代。

三是如何在操作系統(tǒng)層設(shè)計高效共識機(jī)制。異構(gòu)環(huán)境中的同一應(yīng)用可能會產(chǎn)生不一致的輸出,系統(tǒng)需辨析響應(yīng)差異化的根源。差異化可能來源于外部攻擊、異構(gòu)特性或是冗余執(zhí)行環(huán)境的非一致性,需由操作系統(tǒng)做具體裁決。操作系統(tǒng)需監(jiān)控收集異構(gòu)環(huán)境的不同關(guān)鍵信息,并基于這些運(yùn)行時信息和裁決策略 ,藉由表決得到異構(gòu)間共識。

3 操作系統(tǒng)內(nèi)生安全設(shè)計

操作系統(tǒng)作為核心基礎(chǔ)軟件 ,處于硬件和應(yīng)用層之間,負(fù)責(zé)硬件資源的管理并服務(wù)于應(yīng)用 ,其內(nèi)生安全的架構(gòu)直接決定系統(tǒng)層動態(tài)異構(gòu)冗余過程中各模塊之間的有效協(xié)同。多內(nèi)核操作系統(tǒng)能同時運(yùn)行多個異構(gòu)內(nèi)核 ,其結(jié)構(gòu)天然符合操作系統(tǒng)內(nèi)生安全需求 ,多內(nèi)核操作系統(tǒng)架構(gòu)如圖1所示。

圖1 多內(nèi)核操作系統(tǒng)架構(gòu)

Fig.1 Multi kernel operating system architecture

由圖 1可知 ,多內(nèi)核操作系統(tǒng)同時運(yùn)行多個內(nèi)核 ,各內(nèi)核可具備同構(gòu)屬性或異構(gòu)屬性 ,內(nèi)核間通過高效通信機(jī)制協(xié)同工作。多內(nèi)核操作系統(tǒng)以內(nèi)核為處理場景元素 ,可通過構(gòu)建動態(tài)異構(gòu)冗余的內(nèi)核來提供差異化的執(zhí)行環(huán)境 ,是操作系統(tǒng)內(nèi)生安全的良好載體。

3.1 操作系統(tǒng)內(nèi)生安全架構(gòu)

基于多內(nèi)核操作系統(tǒng)引入內(nèi)生安全機(jī)制后的操作系統(tǒng)內(nèi)生安全架構(gòu)如圖 2所示。

圖2 操作系統(tǒng)內(nèi)生安全架構(gòu)

Fig.2Internal security architecture of the operating system

架構(gòu)的難點是如何保持各個部分運(yùn)行過程中的高效協(xié)同以及使用過程中的易用。因此 ,需要定義高效好用的服務(wù)接口層、內(nèi)核交互接口層和資源管理層以提供對上易用服務(wù)、對內(nèi)高效協(xié)同和對下高效利用的目標(biāo)。服務(wù)接口層研究如何在內(nèi)核和文件系統(tǒng)進(jìn)行異構(gòu)冗余變換后為應(yīng)用提供簡潔易用的接口 ,從而實現(xiàn)應(yīng)用與系統(tǒng)層的交互和協(xié)同。內(nèi)核間交互層研究為了實現(xiàn)各異構(gòu)內(nèi)核間高效的通信 ,需要交互的基本信息及交互接口主要包括通信機(jī)制和共識接口。資源管理層研究硬件資源的劃分和管理 ,多個內(nèi)核間的資源相對獨立且隔離 ,包括計算、內(nèi)存和設(shè)備資源 ,通過虛擬化技術(shù)等將資源在內(nèi)核間進(jìn)行劃分 ,并支持資源的訪問限制定義和管理。

3.2 異構(gòu)冗余機(jī)制

內(nèi)核是整個軟件?？刂坡窂胶吞貦?quán)級的核心管控模塊,因此內(nèi)核級異構(gòu)冗余是內(nèi)生安全的核心 ,除了可以保證基礎(chǔ)核心模塊的安全 ,也可以為頂層應(yīng)用提供更好的支撐。因此 ,需要通過多維度的控制和數(shù)據(jù)變換來實現(xiàn)內(nèi)核異構(gòu)性 ,結(jié)合內(nèi)核的特點 ,研究各種可變換的維度以及與之特性適配的變換方法、潛在的異構(gòu)性、開銷和易用性。同時 ,也需要結(jié)合應(yīng)用端的內(nèi)存布局、執(zhí)行路徑等需求進(jìn)行設(shè)計。其系統(tǒng)架構(gòu)如圖 3所示。

圖3 內(nèi)核異構(gòu)冗余架構(gòu)

Fig.3Heterogeneous redundant architecture of kernel

冗余性設(shè)計包括多路徑執(zhí)行和內(nèi)核間隔離。應(yīng)用需分派到不同內(nèi)核上多路徑執(zhí)行 ,執(zhí)行集合中的所有內(nèi)核承接執(zhí)行任務(wù)并為之提供語義一致的執(zhí)行環(huán)境。外部輸入、環(huán)境變量、系統(tǒng)配置等信息也被同步復(fù)制分派到多個內(nèi)核上。內(nèi)核分別獨立執(zhí)行 ,并監(jiān)控檢查各自的用戶程序 ,最終多個內(nèi)核產(chǎn)生與期望一致的輸出。此外 ,多個內(nèi)核間應(yīng)彼此隔離。以往的系統(tǒng)中 ,應(yīng)用程序運(yùn)行在低特權(quán)級 ,內(nèi)核則獨占高特權(quán)級 ,并統(tǒng)轄系統(tǒng)所有權(quán)限。系統(tǒng)通過內(nèi)核實現(xiàn)應(yīng)用間的隔離和應(yīng)用與內(nèi)核的隔離 ,但未知網(wǎng)絡(luò)攻擊可能以應(yīng)用為載體對內(nèi)核發(fā)動攻擊。為提供內(nèi)生安全的冗余性要求 ,某個內(nèi)核的崩潰不應(yīng)該引起全系統(tǒng)的瓦解 ,即操作系統(tǒng)應(yīng)具備內(nèi)核級容錯能力。而作為處理場景元素的內(nèi)核可能具有未知漏洞或后門 ,具備轉(zhuǎn)化為惡意內(nèi)核的風(fēng)險。因此 ,系統(tǒng)應(yīng)限制內(nèi)核的特權(quán)能力 ,防止惡意內(nèi)核蓄意窺探或攻擊其他內(nèi)核 ,從而影響整個系統(tǒng)的穩(wěn)定 ,即多內(nèi)核操作系統(tǒng)應(yīng)具備內(nèi)核級保護(hù)能力。

異構(gòu)性設(shè)計可從操作系統(tǒng)控制平面和數(shù)據(jù)平面兩個方面展開。操作系統(tǒng)內(nèi)核控制平面包括系統(tǒng)調(diào)用、執(zhí)行路徑和指令異構(gòu) ,因此操作系統(tǒng)內(nèi)核的異構(gòu)性也將圍繞這 3個方面展開。系統(tǒng)調(diào)用是內(nèi)核為應(yīng)用提供服務(wù)的交互接口,直接決定應(yīng)用可使用的系統(tǒng)服務(wù) ,因此其動態(tài)異構(gòu)對系統(tǒng)安全至關(guān)重要?？赏ㄟ^系統(tǒng)調(diào)用接口的運(yùn)行時隨機(jī)化變換 ,以及對接口語義實現(xiàn)模塊的功能變換等設(shè)計實現(xiàn)不同內(nèi)核系統(tǒng)接口的異構(gòu)性。對于執(zhí)行路徑異構(gòu)性則可通過應(yīng)用執(zhí)行路徑進(jìn)行運(yùn)行時隨機(jī)化變換來實現(xiàn) ,如全局調(diào)度順序、鎖獲取釋放順序、隨機(jī)數(shù)序列產(chǎn)生結(jié)果等。但系統(tǒng)函數(shù)隨機(jī)化面臨實現(xiàn)困難、可擴(kuò)展性差等問題。實現(xiàn)系統(tǒng)函數(shù)隨機(jī)化需要對多內(nèi)核中每一個內(nèi)核提供的系統(tǒng)調(diào)用進(jìn)行隨機(jī)化實現(xiàn) ,這對在架構(gòu)中新增或刪減內(nèi)核時均帶來不便。其次 ,對于異構(gòu)內(nèi)核提供的相似功能 ,其執(zhí)行路徑和執(zhí)行結(jié)果也不一定完全相同 ,因此需要對不同內(nèi)核的系統(tǒng)調(diào)用進(jìn)行抽象 ,這導(dǎo)致工程量和難度隨內(nèi)核數(shù)量增加成指數(shù)上升。最后 ,部分內(nèi)核間存在相似或相同的系統(tǒng)調(diào)用 ,如 macOS內(nèi)核和 Linux內(nèi)核存在相似系統(tǒng)調(diào)用。因此 ,攻擊可以針對異構(gòu)內(nèi)核間的耦合部分 ,從而導(dǎo)致多內(nèi)核操作系統(tǒng)無法有效識別入侵。執(zhí)行路徑異構(gòu)則面臨共識困難、實現(xiàn)困難等挑戰(zhàn)。識別應(yīng)用在不同內(nèi)核間的執(zhí)行路徑來實現(xiàn)內(nèi)生安全需要高效的共識機(jī)制來保證 ,但異構(gòu)內(nèi)核本身復(fù)雜性和執(zhí)行路徑不一致性會導(dǎo)致共識機(jī)制的實現(xiàn)困難。綜上 ,內(nèi)核系統(tǒng)控制平面僅從系統(tǒng)調(diào)用和執(zhí)行路徑來實現(xiàn)異構(gòu)冗余并不能完全滿足內(nèi)生安全需求。因此 ,本文提出指令隨機(jī)化方案來彌補(bǔ)系統(tǒng)函數(shù)隨機(jī)化、執(zhí)行路徑異構(gòu)等異構(gòu)方案設(shè)計的缺陷。

實現(xiàn)指令級異構(gòu)的主要技術(shù)為指令隨機(jī)化 ,在編譯時對可執(zhí)行程序的機(jī)器碼進(jìn)行加密操作 ,在執(zhí)行前再對每條加密過的指令進(jìn)行解密 ,以此阻止惡意代碼的攻擊。因此,指令隨機(jī)化具有天然的異構(gòu)性 ,符合內(nèi)生安全對操作系統(tǒng)異構(gòu)性的需求。此外 ,相比于系統(tǒng)調(diào)用的隨機(jī)化 ,指令隨機(jī)化能保證在對應(yīng)用和硬件的透明性基礎(chǔ)上 ,在更底層、更細(xì)粒度的層面上實現(xiàn)異構(gòu)性。

圖4 指令異構(gòu)冗余架構(gòu)圖

Fig.4Instruction heterogeneous redundancy architecture diagram

指令異構(gòu)冗余架構(gòu)圖如圖 4所示 ,從圖中可知 ,本文在多內(nèi)核操作系統(tǒng)的基礎(chǔ)上 ,通過動態(tài)選取異構(gòu)內(nèi)核的指令子集并對子集中的指令進(jìn)行動態(tài)隨機(jī)化來加密指令 ,最后在執(zhí)行時通過解析器來解密指令 ,以此實現(xiàn)指令級的異構(gòu)。

對于內(nèi)核的數(shù)據(jù)平面 ,主要包括內(nèi)存布局以及加載的可執(zhí)行文件格式。因此 ,對于內(nèi)核的數(shù)據(jù)平面的異構(gòu)性 ,也將主要圍繞這兩個方面展開。對于內(nèi)存布局 ,應(yīng)用的所有運(yùn)行時數(shù)據(jù)都維護(hù)在程序的地址空間中 ,可對內(nèi)存地址空間的多目標(biāo)多粒度隨機(jī)化 ,例如可執(zhí)行程序及其共享庫的加載基址、用戶棧及內(nèi)核棧偏移、代碼段的順序結(jié)構(gòu)、數(shù)據(jù)段的棧中順序、代碼和數(shù)據(jù)在棧中的加密形式等 ,從而通過內(nèi)核的異構(gòu)執(zhí)行機(jī)制實現(xiàn)應(yīng)用執(zhí)行期間的異構(gòu)特性。對于可執(zhí)行文件格式 ,每種操作系統(tǒng)均僅能執(zhí)行特定的可執(zhí)行文件格式 ,因而可以通過研究可執(zhí)行文件格式變換及與之適配的加載器實現(xiàn)對可執(zhí)行文件異構(gòu)性的支持。通過上述兩點實現(xiàn)內(nèi)核數(shù)據(jù)平面的異構(gòu)特性。綜上 ,多內(nèi)核操作系統(tǒng)的異構(gòu)冗余機(jī)制可從指令異構(gòu)、內(nèi)存異構(gòu)和加載方式異構(gòu) 3點來實現(xiàn)。

3.3 高效通信和共識機(jī)制

內(nèi)核間通信及共識機(jī)制是內(nèi)生安全防護(hù)系統(tǒng)中內(nèi)核間高效交互和協(xié)同的基礎(chǔ)。其中 ,內(nèi)核間通信效率是直接關(guān)系到內(nèi)核間協(xié)同效率的根本 ,在單個內(nèi)核操作系統(tǒng)中 ,進(jìn)程之間的通信模式和方法豐富 ,是操作系統(tǒng)內(nèi)核層極為重要的部分。對于跨內(nèi)核間的進(jìn)程或模塊的通信 ,數(shù)據(jù)的傳輸和消息通知需要新的設(shè)計以支持上層的通信需求。基于高效內(nèi)核間通信之上構(gòu)建的共識機(jī)制的效率則是系統(tǒng)高效安全共識的關(guān)鍵 ,內(nèi)核執(zhí)行量大導(dǎo)致行為和結(jié)果信息量大 ,怎樣快速共識是必須解決的問題。內(nèi)核間通信及共識機(jī)制系統(tǒng)架構(gòu)如圖5所示。

圖5 內(nèi)核間通信和共識機(jī)制系統(tǒng)架構(gòu) Fig.5Inter kernel communication and consensus architecture

內(nèi)核間高效通信旨在探究如何在單主機(jī)上實現(xiàn)兼顧安全與效率的通信機(jī)制。既往的進(jìn)程間通信或遠(yuǎn)程過程調(diào)用需要高特權(quán)級的參與以保證安全隔離 ,故由內(nèi)核實現(xiàn)并監(jiān)督管理通信過程。而在多內(nèi)核架構(gòu)中 ,內(nèi)核由通信過程的中介變?yōu)橹黧w ,且均運(yùn)行在特權(quán)模式 ,因此需要實現(xiàn)高特權(quán)下的新型通信方式。而現(xiàn)有的遠(yuǎn)程過程調(diào)用手段包括網(wǎng)絡(luò)通信等方式,不適用于單主機(jī)上的通信,應(yīng)發(fā)掘基于內(nèi)存等片上及片間的高效通信方式。因此,內(nèi)核間通信既要求充分利用單主機(jī)通信的高效,又要求內(nèi)核間隱私保護(hù),即兼顧共享和隔離。

共識機(jī)制研究高效準(zhǔn)確的共識機(jī)制,以及共識所依賴的請求分發(fā)、代理合并以及表決協(xié)同等關(guān)鍵技術(shù)。由于異構(gòu)內(nèi)核迥異的運(yùn)行邏輯,執(zhí)行應(yīng)用時所呈現(xiàn)的特征也各不相同,可能展示差異化的執(zhí)行結(jié)果,如不同的系統(tǒng)調(diào)用類型與次數(shù)、不同的進(jìn)程間通信次數(shù)等。因此,系統(tǒng)需實現(xiàn)異構(gòu)的監(jiān)控組件以收集異構(gòu)內(nèi)核特定的運(yùn)行時信息,同時綜合所有內(nèi)核的響應(yīng)經(jīng)由表決得到共識。因此,基于內(nèi)生安全需求,要求操作系統(tǒng)能容許欺詐的類拜占庭共識算法,通過預(yù)設(shè)的裁決算法和策略對是否發(fā)生隨機(jī)錯誤或蓄意攻擊達(dá)成共識。

4 相關(guān)工作

目前工業(yè)界的操作系統(tǒng)內(nèi)生安全工作包括 SpaceX公司的三冗余系統(tǒng)、博世公司的冗余自動駕駛系統(tǒng)等,學(xué)術(shù)界則集中在移動目標(biāo)防御 MTD和擬態(tài)防御。移動目標(biāo)防御通過動態(tài)或靜態(tài)排列組合、變形、變換或混淆來轉(zhuǎn)移攻擊者攻擊。Thompson等人[20]提出在多內(nèi)核環(huán)境下實現(xiàn)移動目標(biāo)防御。移動目標(biāo)防御雖然能通過隨機(jī)性、多樣性和動態(tài)性技術(shù)來為攻擊者提供隨機(jī)且變化的底層系統(tǒng)視圖,以放大網(wǎng)絡(luò)攻擊開銷,但這些特性不能改變漏洞或后門的邏輯性質(zhì),攻擊依然可能通過短路或協(xié)同等方式來攻破防御措施。操作系統(tǒng)級的擬態(tài)防御則是通過動態(tài)異構(gòu)冗余綜合考慮功能安全和網(wǎng)絡(luò)安全。復(fù)旦大學(xué)[21]于 2023年提出在多內(nèi)核操作系統(tǒng)上實現(xiàn)動態(tài)異構(gòu)冗余架構(gòu),為內(nèi)生安全的操作系統(tǒng)方案提供了思路。

5 結(jié)語

本文針對日益突出的內(nèi)生安全問題,從操作系統(tǒng)級提出內(nèi)生安全解決方案。針對目前單內(nèi)核操作在架構(gòu)上不支持內(nèi)生安全異構(gòu)性、操作系統(tǒng)層構(gòu)建內(nèi)生安全的動態(tài)異構(gòu)冗余機(jī)制不成熟和操作系統(tǒng)共識機(jī)制設(shè)計困難等問題,設(shè)計了基于多內(nèi)核的操作系統(tǒng)內(nèi)生安全架構(gòu),并從異構(gòu)冗余機(jī)制、高效通信和共識機(jī)制上展開設(shè)計方案。隨著擬態(tài)技術(shù)與 AI[22]、IoT、Cloud、Data與 SDN等新型技術(shù)深度融合,將逐漸形成“擬態(tài) +”AICDS共生生態(tài)。例如,CNN[23]、RNN[24]、GNN[25]、GRU[26]等神經(jīng)網(wǎng)絡(luò)算法驅(qū)動的人工智能技術(shù),可用于優(yōu)化擬態(tài)多模裁決、態(tài)勢感知、數(shù)據(jù)計算等性能,因此,可將 AI用于分析操作系統(tǒng)架構(gòu)的安全態(tài)勢不足;操作系統(tǒng)內(nèi)生安全可用于IoT中的智能駕駛輔助系統(tǒng)(ADAS)、車聯(lián)網(wǎng)防御系統(tǒng)[27],彌補(bǔ)因物聯(lián)網(wǎng)[28]連接泛在、數(shù)據(jù)聚合、平臺各異、設(shè)備復(fù)雜和可靠性存在較大隱患等缺陷[29]。但目前操作系統(tǒng)內(nèi)生安全的事實性安全性能有待提高,部署成本有待降低,且面臨在非協(xié)同多模決策下存在攻擊逃逸空間、異構(gòu)度增益與執(zhí)行體同步互相掣肘、安全與功能難以平衡和現(xiàn)有內(nèi)生安全組件擬態(tài)熵有限等多重挑戰(zhàn)[30],與各類技術(shù)結(jié)合的諸多研究點有待突破。

審核編輯：湯梓紅